Auftragsdatenverarbeitungsvertrag nach Vorlage des BayLDA

Überraschenderweise passiert es immer noch sehr häufig, dass Dienstleister unserer Mandanten aus allen Wolken fallen, wenn sie einen ADV-Vertrag mit unserem Mandant abschließen sollen. Seit 2009 jedoch ist eine vertragliche Regelung der Auftragsdatenverarbeitung durch § 11 BDSG gesetzlich vorgeschrieben und geregelt. Das BayLDA hat zu dieser Thematik ein Informationsblatt veröffentlicht, das sich wunderbar dafür eignet, sich sträubende Dienstleister aufzuklären. Hier einige der wichtigsten Auszüge…

AUFTRAGSDATENVERARBEITUNG UND FUNKTIONSÜBERTRAGUNG

Auftragsdatenverarbeitung sind regelmäßig z. B. folgende Dienstleistungen

die dv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
die Werbeadressenverarbeitung in einem Lettershop,
die Kontaktdatenerhebung durch ein Callcenter,
Fernwartung, bei der Einsicht in personenbezogene Daten nicht ausgeschlossen werden kann
…

Keine Auftragsdatenverarbeitung sind z. B.
die Auslagerung bzw. externe Inanspruchnahme von Aufgaben/Funktionen wie Personalverwaltung, Mitarbeiterrekrutierung, Vertragskundenbetreuung, Finanzberatung, Steuerberatung, Unternehmensberatung, Wirtschaftsprüfung, Inkassotätigkeit mit Forderungsübertragung, Sachverständigen- bzw. Gutachterbeauftragung, usw. an/durch ein verbundenes Unternehmen oder sonstige Dritte mit dort eigenverantwortlicher Wahrnehmung. Dies geht über Hilfstätigkeiten bzw. dv-technische Unterstützungen hinaus und betrifft extern in Anspruch genommene fachlich-intellektuelle Tätigkeiten von Spezialisten; die hierzu notwendige Weitergabe von Daten durch den Auftraggeber bedarf einer speziellen Rechtsgrundlage nach § 4 Abs. 1 BDSG (häufig Einwilligung, teilweise § 28 Abs. 1 Satz 1 Nrn. 1 und 2 BDSG).
Ebenfalls keine Auftragsdatenverarbeitung liegt vor bei
fremd in Anspruch genommene Tätigkeiten, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise mit verbundene Kontakt mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ darstellt, oder eine Kenntnisnahme personenbezogener Daten, bei der Leistungserbringung nicht ausgeschlossen ist.
Beispiele:

Transportleistungen von Post- oder Kurierdiensten
Transportleistungen von öffentlichen Telekommunikationsdiensten
Bankdienstleistungen als „Verwaltungs- und Transportleistungen von Geld“
Bewachungsdienste
Reinigungsdienstleistungen
Handwerkereinsätze in Unternehmen für Reparaturen und Wartung

Wenn hier keine besonderen gesetzlichen oder vertraglichen Geheimhaltungsverpflichtungen bestehen, wie Postgeheimnis, Telekommunikations-/ Fernmeldegeheimnis, Bankgeheimnis, ist eine spezielle Geheimhaltungsverpflichtung der externen Personen (Bewachungs-/ Reinigungspersonal, Handwerker etc.) notwendig, die sich inhaltlich an der Verpflichtung auf das Datengeheimnis nach § 5 BDSG orientieren kann.

BAYLDA VORLAGE FÜR EINEN ADV-VERTRAG

Im Rahmen des Informationsblattes stellt das BayLDA auch ein Muster für einen ADV-Vertrag zur Verfügung. Wir haben basierend auf diesem Muster eine Vorlage erstellt, die auch die gewünschten Anlagen zu den technischen und organisatorischen Maßnahmen bzw. den Unterauftragsverhältnissen beinhaltet. Unseren Kunden steht diese natürlich auf Anfrage zur Verfügung.